第十四章PPP协议.ppt
第十四章PPP协议,本章目标,通过本章学习,您应该掌握以下内容:掌握CISCO HDLC帧格式及配置掌握PPP协议的组件:成帧方法、LCP、NCP掌握PPP帧格式及配置掌握PPP的验证过程(PAP、CHAP)及配置,串行点到点链路的封装格式,最常用的两个点对点广域网封装协议是HDLC、PPPPPP:用于在链路建立过程当中检查链路质量;另外,还支持PAP和CHAP密码验证HDLC:是思科串行线路的缺省协议,只允许点对点的连接如果连接的是非CISCO设备,就需要使用其他的数据封装类型。如FR,PPP,HDLC协议简介,SDLC:由IBM开发,后来提交给ANSI和ISO,希望接受成为美国国家标准和国际标准。ADCCP:ANSI修改SDLC后形成。HDLC:ISO修改SDLC后形成。CISCO HDLC实现基于ISO HDLC,但在帧格式中做了修改,使其称为CISCO专有协议。HDLC是CISCO串行线路的缺省封装协议,只允许CISCO专用设备的连接,与其他的供应商的设备不兼容。,Flag,Address,Control,Data,FCS,Flag,ISO HDLC,支持单一的协议环境,Flag,Address,Control,Proprietary,Data,FCS,Flag,Cisco HDLC,HDLC 帧格式,Cisco的 HDLC 具有proprietary 字节提供对多协议环境的支持,配置HDLC,Router(config)#interface serial slot_#/port_#Router(config-if)#encapsulation hdlc,进入某个串口配置模式启用HDLC封装HDLC是CISCO同步串口的缺省封装格式,查看数据链路层封装,Router#show interfaces serial 1Serial1 is up,line protocol is upHardware is MCI SerialInternet address is 192.168.2.2 255.255.255.0MTU 1500 bytes,BW 1544 Kbit,DLY 20000 usec,rely 255/255,load 1/255Encapsulation HDLC,loopback not set,keepalive set(10 sec)Last input 0:00:02,output 0:00:00,output hang neverLast clearing of show interface counters neverOutput queue 0/40,0 drops;input queue 0/75,0 drops,PPP Encapsulation,TCP/IPNovell IPXAppleTalk,Multiple protocol encapsulations using NCPs in PPP,Link setup and control using LCP in PPP,PPP 综述,PPP 可以通过 NCP 携带多个网络层协议的数据包PPP 可以通过 LCP 建立和控制数据链路PPP 可以在异步或同步串口、HSSI、ISDN接口下工作,PPP协议作用,能够控制数据链路的建立;能够配置和测试数据链路;允许认证能够对广域网的IP地址进行分配和管理;允许同时采用多种网络层协议;能够有效进行错误检测;在80年代末,人们在SLIP协议基础上开发PPP协议来解决远程互联网连接的问题。,PPP:A data link with network layer services,PPP 组件,LCP分组中的配置选项,PPP帧格式,Flag:01111110,Address:11111111,Flag:00000011,PPP 认证概述,PPP 会话建立的3个步骤链路建立(LCP完成)验证阶段(可选,LCP完成)网路层协议连接(NCP完成),Dialup or Circuit-Switched Network,两种 PPP 认证协议:PAP 和 CHAP,PPP认证,在PPP会话中,验证是可选的。如果需要验证,则须通信双方的路由器要交换彼此的验证信息。可以选择使用密码验证协议PAP或询问握手验证协议CHAP;在一般情况下,CHAP是首选协议。,密码明文传输,选择 PPP 验证协议,Remote Router(SantaCruz),Central-Site Router(HQ),Hostname:santacruzPassword:boardwalk,username santacruzpassword boardwalk,PAP 2-Way Handshake,“santacruz,boardwalk”,Accept/Reject,PAP:两次握手,密码在链路上是明文传输的;连接建立后,需要不停地在链路上反复发送用户名和密码;远程节点受到登录尝试的频率和定时的限制。,密码验证协议PAP,选择 PPP 验证协议,远程路由器(SantaCruz),中心路由器(HQ),Hostname:santacruzUsername:HQPassword:boardwalk,Hostname:HQUsername:santacruzPassword:boardwalk,CHAP3-Way Handshake,质询,响应,接受/拒绝,密码没有直接在链路上传输,第一步 拔号者发起CHAP呼叫,766-1,3640-1,User dials in,ppp authentication CHAPLCP协商CHAP认证方式和MD5算法,userpass766-1pc1,userpass3640-1pc1,第二步 向拔号者发送质询信息,01,random,3640-1,id,User dials in,766-1,3640-1,1、建立质询数据包:随机数,认证名2、将id号和随机数保存在访问服务器中;3、向呼叫方发送质询数据包;,分组标识:01:质询02:质询应答03:允许PPP连接04:拒绝PPP连接,用于区别多个认证过程,第三步拔号者处理质询消息,MD5,hash,01,random,3640-1,id,userpass3640-1pc1,User dials in,766-1,3640-1,拔号者处理CHAP质询数据包;1、将id号放入MD5散列生成器;2、将随机数放入MD5散列生成器;3、用访问服务器的认证名匹配口令4、将口令放入MD5散列生成器,第四步 拔号者向访问服务器发送质询应答,01,02,random,3640-1,id,id,hash,766-1,userpass3640-1pc1,User dials in,766-1,3640-1,MD5,hash,发送应答包给访问服务器;,第五步 访问服务器检查拔号者发过来的应答数据包,01,02,random,3640-1,id,id,hash,766-1,userpass766-1pc1,userpass3640-1pc1,=?,User dials in,766-1,3640-1,MD5,hash,第六步 访问服务器向拔号者发送认证通过/失败的消息,01,02,03,random,3640-1,id,id,hash,766-1,id,“Welcome in”,userpass766-1pc1,userpass3640-1pc1,User dials in,766-1,3640-1,MD5,hash,PPP配置和认证总述,配置 PPP,Router(config-if)#encapsulation ppp,激活 PPP 封装,配置 PPP 验证,Router(config)#hostname name,给本地路由器命名,Router(config)#username name password password,提供需要验证的对方路由器的名称和密码,配置 PPP 验证,Router(config-if)#ppp authenticationchap|chap pap|pap chap|pap,激活 PAP 或 CHAP 验证,CHAP 配置举例,hostname leftusername right password sameone!int serial 0 ip address 10.0.1.1 255.255.255.0 encapsulation ppp ppp authentication CHAP,hostname rightusername left password sameone!int serial 0 ip address 10.0.1.2 255.255.255.0 encapsulation ppp ppp authentication CHAP,Leftrouter,Rightrouter,PSTN/ISDN,查看 HDLC 和 PPP 的封装,Router#show interface s0Serial0 is up,line protocol is up Hardware is HD64570 Internet address is 10.140.1.2/24 MTU 1500 bytes,BW 1544 Kbit,DLY 20000 usec,rely 255/255,load 1/255 Encapsulation PPP,loopback not set,keepalive set(10 sec)LCP Open Open:IPCP,CDPCP Last input 00:00:05,output 00:00:05,output hang never Last clearing of show interface counters never Queueing strategy:fifo Output queue 0/40,0 drops;input queue 0/75,0 drops 5 minute input rate 0 bits/sec,0 packets/sec 5 minute output rate 0 bits/sec,0 packets/sec 38021 packets input,5656110 bytes,0 no buffer Received 23488 broadcasts,0 runts,0 giants,0 throttles 0 input errors,0 CRC,0 frame,0 overrun,0 ignored,0 abort 38097 packets output,2135697 bytes,0 underruns 0 output errors,0 collisions,6045 interface resets 0 output buffer failures,0 output buffers swapped out 482 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up,验证 PPP 认证,debug ppp authentication shows successful CHAP output.,完成本章的学习后,你应该能够掌握:在广域网的串行口上配置PPP 协议在一个 PPP 连接内配置PAP和CHAP验证查看点到点的 PPP 协议配置情况,本章总结,1.在Cisco路由器上有哪三中广域网连接类型?2.PPP有哪两种封装协议,它们有哪些优缺点?,问题回顾,